Sau khi xuất hiện những báo cáo đáng lo ngại về việc hơn 89 triệu tài khoản Steam bị xâm phạm và dữ liệu cá nhân bị rao bán trên dark web, Steam đã đưa ra tuyên bố để trấn an người dùng rằng tài khoản của họ hoàn toàn an toàn. Tuy nhiên, Steam xác nhận có xảy ra sự cố rò rỉ dữ liệu, nhưng khẳng định chỉ chứa “các mã dùng một lần chỉ có hiệu lực trong khung thời gian 15 phút và số điện thoại nhận các mã đó.”
Logo Steam trên nền tối, liên quan đến tin tức lộ dữ liệu tài khoản
Steam đang điều tra nguồn gốc vụ rò rỉ và nghi ngờ nó bắt nguồn từ một nhà cung cấp dịch vụ di động. Steam cho biết: “Tin nhắn SMS không được mã hóa trong quá trình truyền và được định tuyến qua nhiều nhà cung cấp trên đường đến điện thoại của bạn.” Steam khẳng định hệ thống của họ không bị xâm phạm, và người dùng không cần phải lo lắng về việc thay đổi mật khẩu hoặc số điện thoại của mình vì sự cố này.
Dữ Liệu Người Dùng Steam Có Khả Năng Bị Rao Bán Trên Dark Web
Công ty an ninh mạng Underdark đã đăng bài trên Linkedin.com về vụ rò rỉ dữ liệu này, thậm chí chia sẻ ảnh chụp màn hình dường như cho thấy ai đó đang cố gắng bán dữ liệu trên dark web. Underdark.ai nhận định: “Những ảnh hưởng tiềm tàng ở đây là nghiêm trọng — Steam không chỉ là một nền tảng game; đó là một kho báu dữ liệu cá nhân và tài chính gắn liền với người dùng trên toàn thế giới. Nếu sự cố này được xác minh, nó có thể dẫn đến các cuộc tấn công lừa đảo (phishing), chiếm đoạt tài khoản và tấn công có chủ đích trên diện rộng trong cộng đồng game thủ.”
Giao diện thư viện game trên nền tảng Steam
Sau đó, Underdark đã cập nhật bài đăng, cho biết thêm: “Dữ liệu bao gồm nội dung tin nhắn, trạng thái gửi, siêu dữ liệu và chi phí định tuyến — cho thấy quyền truy cập backend vào bảng điều khiển hoặc API của nhà cung cấp, chứ không phải trực tiếp vào Steam.” Underdark dường như đã thu thập được một mẫu dữ liệu bị rò rỉ và xác nhận “mẫu dữ liệu bị rò rỉ chứa nhật ký SMS 2FA thời gian thực được định tuyến qua Twilio.”
Underdark gọi đây là “sự xâm phạm chuỗi cung ứng, khiến bảo mật người dùng gặp rủi ro thông qua lừa đảo hoặc chiếm đoạt phiên hoạt động.” Do đó, có khả năng người dùng Steam có thể nhận được một số tin nhắn rác (spam text) do số điện thoại đã bị rò rỉ, nhưng dường như vụ rò rỉ này chỉ ở mức độ bề mặt và không gây ra mối đe dọa thực sự cho tài khoản.
Mặc dù chưa thể chắc chắn hoàn toàn về những tác động (nếu có) của dữ liệu bị rò rỉ này, Valve vẫn khuyến cáo người dùng luôn cảnh giác với bất kỳ tin nhắn bảo mật nào mà bạn không yêu cầu, nhưng trấn an người dùng rằng tài khoản Steam của họ chưa bị hack vì sự cố này.
Steam khẳng định: “Dữ liệu bị rò rỉ không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc dữ liệu cá nhân khác. Các tin nhắn văn bản cũ không thể được sử dụng để phá vỡ bảo mật tài khoản Steam của bạn, và bất cứ khi nào một mã được sử dụng để thay đổi email hoặc mật khẩu Steam của bạn bằng SMS, bạn sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật của Steam.”
Valve khuyến nghị thiết lập Steam Mobile Authenticator để thêm một lớp bảo mật bổ sung cho tài khoản Steam của bạn, đơn giản chỉ để đảm bảo an toàn tối đa.
Kết luận, trong khi báo cáo ban đầu về việc 89 triệu tài khoản Steam bị xâm phạm nghe có vẻ đáng báo động, thông tin chính thức từ Steam và phân tích chuyên sâu hơn cho thấy sự cố rò rỉ dữ liệu chỉ giới hạn ở các mã SMS xác thực dùng một lần và số điện thoại liên quan. Tài khoản Steam của người dùng vẫn được bảo vệ, nhưng việc cẩn trọng với các tin nhắn đáng ngờ và sử dụng Steam Mobile Authenticator là biện pháp an toàn cần thiết trong bối cảnh hiện tại.
Bạn nghĩ sao về vụ việc này và các biện pháp bảo mật của Steam? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới!
